Cơ quan Nghiên cứu Nghị viện châu Âu gọi VPN là “lỗ hổng cần phải khép lại”

Ý kiến trên Hacker News

• Xin nhắc lại phòng khi mọi người quên: khi Trung Quốc bắt đầu yêu cầu giấy phép đăng ký trước khi vận hành website, cái cớ cũng là bảo vệ trẻ em
  Chính sách tưởng như đơn giản đó rốt cuộc đã khiến phần lớn nhà xuất bản cá nhân và truyền thông tự chủ im tiếng, tập trung ngành vào tay một số ít người, và xóa sạch những cơ hội còn lại cho các startup nhỏ. Đó có thể là hậu quả tệ hơn rất nhiều so với việc trẻ em xem nội dung khiêu dâm trên mạng, vì nó gây ảnh hưởng tiêu cực đến cả cuộc đời con người
  Nếu EU thật sự muốn giới hạn dịch vụ VPN chỉ cho người trưởng thành, thì cứ phạt những đứa trẻ dùng VPN hoặc phụ huynh cho phép việc đó. Cũng như vi phạm giao thông thì phạt tài xế, chứ không phạt con đường
  Nếu vẫn thấy chưa đủ, thì cứ cắt cáp như Bắc Triều Tiên

  • Tóm tắt cách mọi chuyện diễn ra ở Nga như sau
    Khoảng năm 2015, một khung pháp lý được dựng lên với danh nghĩa chặn nội dung vi phạm bản quyền, đặc biệt là torrents.ru, và chặn DNS trên toàn quốc được áp dụng, nhưng ai hỏi 8.8.8.8 thì vẫn dễ dàng vượt qua
    Sau đó chính phủ dùng cơ sở pháp lý đó để đưa thêm sòng bạc, tổ chức khủng bố và nhiều mục khác vào danh sách chặn, đồng thời bắt đầu thận trọng áp dụng chặn IP
    Luật tiếp tục bị mở rộng để chính phủ có thể chặn một số phương tiện truyền thông theo những tiêu chí mơ hồ, đã thử chặn IP với một số website lớn, và các ISP bị buộc phải lắp thiết bị DPI để lọc theo HTTPS SNI
    Khoảng năm 2019, cơ quan nhà nước Roskomnadzor (RKN), nơi thực thi chặn mà không cần lệnh tòa, được hình thành; đến khoảng năm 2021, theo yêu cầu của RKN, các website không lọc nội dung theo tiêu chuẩn pháp luật Nga bắt đầu bị chặn, và các dịch vụ VPN cũng phải dùng DPI để lọc lưu lượng
    Đến khoảng năm 2023, chiến dịch siết VPN bắt đầu, các dịch vụ thương mại phổ biến bị chặn IP, còn kết nối OpenVPN và IPSec bị DPI làm chậm có chọn lọc; đến khoảng năm 2025, các bộ lọc VPN mạnh hơn như với vless, WireGuard được triển khai, đồng thời hiệu năng của một số website như YouTube và Twitter cũng bị hạ thấp
  • Tôi sẽ ủng hộ nếu các đạo luật chống quyền riêng tư này được áp dụng y như nhau với chính trị gia, cơ quan thực thi pháp luật và quân đội. Dĩ nhiên là tôi không thật sự ủng hộ
    Phe đối lập sẽ phanh phui đống tài liệu bẩn của họ, tham nhũng thường ngày sẽ bị lộ ra, và họ sẽ liên tục dùng dữ liệu đó làm vũ khí chống lẫn nhau, nhưng thế giới đó sẽ không bao giờ tới. Vì chúng ta không sống trong một thế giới nơi luật được áp dụng công bằng cho tất cả
    Nói cách khác là: “luật chỉ dành cho các người, không dành cho tôi”
  • Bạn đang đặt câu hỏi quá logic. So với một công dân toàn cầu của năm 2026 thì bạn đang suy nghĩ và nói quá nhiều. Giờ đây “suy luận” là từ khóa dành riêng cho chatbot, con người không còn được phép làm thế nữa, mà phải ngoan ngoãn phục tùng như bot và giả vờ mọi lời nói dối của họ đều là sự thật
    Tôi sống ở Thổ Nhĩ Kỳ, nơi chính phủ đã cấm toàn bộ website người lớn từ khoảng năm 2008. Người trưởng thành cũng không được truy cập. Năm nay, theo đúng xu hướng toàn cầu, họ đang cấm VPN và đưa vào xác minh độ tuổi cùng xác minh danh tính
    Họ cũng cấm một số trò chơi, kiểm soát mạng xã hội, và đang hợp pháp hóa việc kiểm soát, theo dõi tất cả mọi người trên Internet. Đúng là trùng hợp ghê khi những nỗ lực tương tự lại đồng thời xuất hiện ở nhiều quốc gia độc lập
    Và ở Thổ Nhĩ Kỳ, trẻ em cũng chẳng hề được bảo vệ thực sự kể từ năm 2008
  • Lý lẽ “hãy bảo vệ trẻ em” lúc nào cũng xuất hiện. Vì như vậy có thể gắn nhãn người phản đối quy định hay luật đó, nhẹ thì là “người để trẻ em gặp nguy hiểm”, nặng thì là “ấu dâm”
    Kết quả là người phản đối những quy định hay đạo luật đó, nhẹ thì bị xem là kẻ không đáng được lắng nghe, nặng thì thành người nên bị bỏ tù
    https://en.wikipedia.org/wiki/Think_of_the_children
  • Tôi không nhớ chuyện chế độ cấp phép đăng ký website ở Trung Quốc từng được biện minh bằng lý do “bảo vệ trẻ em”, và cũng khó tìm được bằng chứng rằng đó từng là lời biện minh công khai nổi bật
    Theo tôi thấy thì nó giống việc chính phủ cho rằng họ cần kiểm soát Internet nhiều hơn, nên ban hành luật để có thêm quyền kiểm soát hơn. https://www.gov.cn/gongbao/content/2000/content_60531.htm
    Trong luật đó cũng không có điều khoản đặc biệt nào kiểu ban đầu chỉ áp dụng cho trẻ em rồi sau mở rộng sang người lớn. Trong khi đó, giới hạn thời gian chơi game của trẻ em, theo tôi biết, vẫn chỉ áp dụng cho trẻ em

• Tiêu đề này có vẻ gây hiểu lầm
  Tài liệu của Nghị viện châu Âu dường như chỉ ra sự tồn tại của tranh luận về VPN
  Đoạn liên quan có ý như: “một số người cho rằng đây là lỗ hổng của luật và cần yêu cầu xác minh độ tuổi cả với VPN. Đáp lại, một số nhà cung cấp VPN nói họ không chia sẻ thông tin với bên thứ ba, và ngay từ đầu dịch vụ của họ không nhằm cho trẻ em sử dụng. Ủy viên Trẻ em của Anh đã kêu gọi chỉ cho phép dùng VPN với người trưởng thành”
  Dĩ nhiên, điều đó không có nghĩa là EU sẽ không điều tiết VPN, nhưng trong tài liệu này không hề có chỗ nào “EU” nói rằng phải đóng VPN cả

  • Những kẻ ngốc kiểu này, không chỉ riêng EU, thực sự muốn ngăn thanh thiếu niên xem nội dung khiêu dâm, và sẵn sàng phá hỏng cả hạ tầng Internet để làm điều đó. Đây là một dấu hiệu u ám của xã hội già hóa
  • Tiêu đề đó cũng chính là tiêu đề chính xác của chương tài liệu tương ứng
    Nhìn tổng thể thì nhận xét rằng tài liệu xử lý chủ đề theo hướng cân bằng là đúng, nhưng việc chọn riêng câu đó là không hay, và trở thành kiểu diễn đạt cho cỗ máy phẫn nộ có cái để gặm
    https://www.europarl.europa.eu/RegData/etudes/ATAG/2026/7826...
  • Cho trẻ em nhìn thấy con người khỏa thân là tội ác khủng khiếp
    Còn ném bom trẻ em thì lại được, và người ta vui vẻ sản xuất, vận chuyển mọi loại vũ khí cần thiết cho việc đó
    Đúng là một kiểu khuôn mẫu của xã hội bệnh hoạn
  • “Children's Commissioner for England” không phải EU. Hoàn toàn không phải EU. Vương quốc Anh đã rời EU sau bầu cử và nhiều năm thủ tục
  • Chúng ta cần một “định luật tiêu đề” mới. Hễ tiêu đề nói EU đã phát biểu gì đó, thì thực ra EU chưa chắc đã nói

• Tôi nghĩ mọi hệ thống xác minh danh tính nên bắt đầu từ chủ sở hữu thực sự của doanh nghiệp
  Chính phủ lâu nay bị vận động hành lang để cho những người giàu sở hữu doanh nghiệp làm điều mờ ám vẫn giữ được ẩn danh hoàn toàn, còn người bình thường thì ngày càng bị đẩy tới chỗ phải trình giấy tờ ngay cả khi mua thực phẩm

  • Đúng vậy. Còn tệ hơn là chẳng ai ép chính phủ đi theo hướng xác minh độ tuổi bảo toàn quyền riêng tư
    Thay vào đó, dân kỹ thuật chỉ cố thuyết phục rằng đừng điều tiết gì cả, mà cách đó có thể sẽ không hiệu quả
  • Nói với tư cách người sống trong khu vực tài phán yêu cầu kiểu công khai đó, đây là một phiền toái đáng kể với doanh nghiệp nhỏ mà gần như chẳng đem lại lợi ích gì cho công chúng
  • Công ty bình phong cho giai cấp thống trị, và sự ẩn danh ngày càng teo tóp cho dân thường

• Bên thực sự muốn chặn VPN là các công ty streaming thương mại, đặc biệt là mảng thể thao trực tiếp
  Bất kể quốc gia hay đảng cầm quyền nào, cuối cùng mọi chuyện vẫn xoay quanh tiền

  • Điểm này cần được nhấn mạnh hơn
    Đây không chỉ là vấn đề của chính phủ. Một số tập đoàn lớn có tiền cũng đang âm thầm thúc đẩy

• Tại sao lỗ hổng thuế lại không bị soi kỹ đến thế
  Theo tôi, xác minh độ tuổi bắt buộc trên mạng là có hại và nên bị cấm

  • Đồng ý. Xác minh độ tuổi trên web nên bị cấm 100%
    Phụ huynh cần học cách làm cha mẹ, và chính phủ không nên ép doanh nghiệp thay họ nuôi dạy con cái
  • “Lỗ hổng” thuế chỉ đơn giản là chính sách được thiết kế có chủ ý mà bạn không đồng tình thôi
  • Sao bạn lại nghĩ là nó không bị giám sát? Nhất là Double Irish Dutch Sandwich đã bị xử lý rồi mà
  • Tại sao bạn nghĩ vậy? Khi gia hạn bằng lái hay mua gì đó trên Amazon thì chẳng phải cũng có kiểm tra tuổi sao?
    Hồi tôi còn nhỏ, chương trình thiếu nhi và quảng cáo bị giám sát rất nghiêm. Còn bây giờ bất kỳ đứa trẻ nào cũng có thể tiếp cận nội dung khiêu dâm, bạo lực và lừa đảo trên Internet. Cái có hại không phải là xác minh độ tuổi, mà là chuyện đó
  • Làm sao định nghĩa được lỗ hổng thuế? Không hề có một hành vi đơn lẻ nào tên là “lỗ hổng thuế”; mỗi trường hợp là một gói thực hành hoàn toàn hợp pháp được tối ưu hóa để sử dụng, nên rất khó định nghĩa và vì thế cũng khó giám sát
    Đó là trò đập chuột chũi không hồi kết

• Nếu có quan chức chính phủ EU nào đang đọc cái này, tôi chỉ muốn nhắn ngắn gọn
  Làm ơn đừng suốt ngày nghĩ đến trẻ em trên Internet nữa. Thay vào đó, những việc cấp bách hơn là đây
  Hãy thu nhiều thuế hơn từ các tập đoàn lớn, đánh thuế mạnh hơn với giới siêu giàu, và cấp vốn cho công nghệ và hạ tầng mã nguồn mở do EU xây dựng
  Hãy để phụ huynh có nhiều thời gian hơn với con cái, để họ có thể bảo vệ con tốt hơn bất kỳ đạo luật ngu ngốc nào và giữ chúng tránh khỏi kẻ săn mồi
  Và hãy tăng thêm tàu hỏa

• Có một câu hỏi cứ lởn vởn trong đầu tôi
  Tại sao xác minh độ tuổi lại gắn với xác minh danh tính?
  Tôi hiểu vì sao điều đầu tiên không thể làm nếu không có điều thứ hai, nhưng chẳng phải đơn vị xác minh chỉ cần chuyển lại kết quả đã đủ tuổi hay chưa, mà không cần chi tiết nào khác sao?
  Hay là tôi đang hiểu sai? Nếu làm được vậy thì có vẻ VPN vẫn dùng được mà

  • Xác minh “mù kép” có vẻ chính là cách đó
    Báo cáo nhấn mạnh các cách tiếp cận mới như hệ thống xác minh mù kép đang dùng ở Pháp. Website chỉ nhận được việc người dùng có đáp ứng yêu cầu độ tuổi hay không mà không biết danh tính, còn bên cung cấp xác minh thì không thấy người dùng đang truy cập website nào
  • Ít nhất trong trường hợp như EU, nơi muốn áp đặt hệ thống riêng của mình và không muốn dựa vào bên thứ ba độc lập, thì vấn đề là bạn phải mù quáng tin rằng chính phủ sẽ kiểm soát ứng dụng xác minh độ tuổi mà vẫn tôn trọng điều đó
  • Về mặt kỹ thuật, đây là vấn đề đã được giải quyết từ khoảng 10 năm trước bằng DID, tức định danh phi tập trung, và các bằng chứng có thể xác minh của nó
    Khung ví số của EU cũng được xây trên nền đó, và kịch bản bạn nói chính là một ca sử dụng cốt lõi
    Giờ đây nó đang chuyển từ giới học thuật và nghiên cứu sang lĩnh vực chính trị, còn phản hồi và áp lực từ các nhóm thương mại cùng chương trình nghị sự chính trị đang làm đục nước
    Đây là liên kết đến tài liệu tiêu chuẩn. Cũng dễ tìm thấy các video chất lượng cao giải thích ngắn gọn, dễ hiểu hơn
    https://www.w3.org/TR/did-1.0/
    https://www.w3.org/TR/vc-data-model-2.0/
    Nhân tiện, đây là một trong những sản phẩm phụ lành mạnh của thời kỳ blockchain, nên tốt nhất đừng để bị mấy video cường điệu của dân quảng bá crypto dắt mũi
  • Đúng vậy. Xác minh độ tuổi theo cách bảo toàn quyền riêng tư là hoàn toàn khả thi. Tôi có cảm giác phần lớn những người phản đối ý tưởng này rất mạnh mẽ đều không biết điều đó
    Hầu hết lời phàn nàn ở đây đều mặc định rằng xác minh độ tuổi đồng nghĩa với theo dõi
    Giá mà mọi người chịu tìm hiểu chút trước khi than phiền, thì đã có thể có một cuộc thảo luận thú vị hơn về xác minh độ tuổi bảo toàn quyền riêng tư

• Mọi người chỉ nhìn VPN riêng tư cho người tiêu dùng, nhưng trong EU còn có phạm vi sử dụng VPN thương mại rộng hơn nhiều
  Đường hầm điểm-điểm nối hai địa điểm thành một mạng, truy cập tài nguyên doanh nghiệp từ laptop và thiết bị di động, hay dùng để bù cho tính một chiều của thứ Internet tệ hại mà ngày nay nhiều người bị ép phải dùng, v.v.
  Về cơ bản, nếu bạn có làm việc từ xa dù chỉ một chút, tôi không nói chắc rằng hiện bạn bắt buộc đang dùng VPN, nhưng khả năng rất cao. Có lẽ ngay cả hạ tầng CNTT hậu trường của chính các chính trị gia cũng có quan điểm riêng về chuyện nhánh hành pháp có thể soi quá kỹ nhánh lập pháp đến mức nào

• Chính phủ đã có thông tin định danh của mọi người rồi, bao gồm cả ngày sinh. Nếu vấn đề được nói tới là người chưa thành niên truy cập website và dịch vụ người lớn, thì website chỉ cần biết người dùng đã trên 18 tuổi hay trên ngưỡng tuổi do chính phủ quy định
  Cần có dịch vụ/API định danh của chính phủ được chuẩn hóa để người dùng cho phép tiết lộ tuổi của mình, hoặc chỉ những thông tin họ chọn, cho website hay dịch vụ đang yêu cầu. Nếu dịch vụ định danh của chính phủ có xác thực hai yếu tố và bảo mật phù hợp thì thế là đủ
  Yêu cầu và phản hồi có thể được ẩn danh đúng cách để chính phủ không biết website là gì, còn website không biết danh tính cá nhân
  Tại sao thứ này vẫn chưa tồn tại? Theo tôi biết thì chẳng ai đề xuất cả

  • Chuyện này đã được bàn rộng rãi và đã có triển khai ban đầu. Ví số của EU chính xác là để làm việc này. https://ec.europa.eu/digital-building-blocks/sites/spaces/EU...
    Về lý thuyết, sắp tới tất cả quốc gia EU đều phải hỗ trợ nó, và người dùng sẽ có thể dùng nó để chứng minh tuổi của mình trên mạng theo cách riêng tư. Vẫn còn việc phải làm trước khi triển khai thực tế, nhưng phần kỹ thuật đã được xúc tiến và kế hoạch triển khai dường như đã được chốt
  • Không đâu. Có vẻ bạn không hiểu chính phủ vận hành thế nào. Nó sẽ không bao giờ được ẩn danh thực sự, nên đây là một ý tưởng tồi tệ. Về thực chất, bạn đang đề xuất gắn tài khoản với hộ chiếu
  • Thẻ căn cước của chính phủ Đức hỗ trợ việc đó. Nó có PKI, và bản thân thẻ là một thẻ thông minh chứa chứng chỉ và khóa riêng [0]
    Nó có thể trả lời câu hỏi “có trên 18 tuổi không” bằng bằng chứng không tiết lộ tri thức. Xét cho cùng, thứ đó chỉ chứng minh rằng bạn đang sở hữu một giấy tờ tùy thân hợp lệ và biết mã PIN của nó, nhưng như vậy có vẻ là đủ. Theo bài viết thì Pháp cũng có tính năng này
    [0] https://www.personalausweisportal.de/Webs/PA/EN/government/t..., https://www.bsi.bund.de/EN/Themen/Oeffentliche-Verwaltung/El...
  • Đúng vậy. Ví dụ ở Pháp họ đang làm theo cách đó, và nhìn chung cách được bàn trong EU cũng đi theo hướng ấy
  • Đúng vậy. Nếu chính phủ thực sự coi xác minh độ tuổi là quan trọng thì họ nên cung cấp công cụ đó. Có cách làm mà không xâm phạm quyền riêng tư
    Những dịch vụ như DigiD của Hà Lan có thể là nền tảng rất tốt. Chính là dịch vụ mà người ta đang cố bán sang Mỹ dù ai cũng phản đối. Chỉ cần thêm dịch vụ xác minh độ tuổi vào đó là xong. Chính phủ vốn đã biết bạn là ai theo nghĩa pháp lý đầy đủ nhất rồi

• Đã từng có thời phụ huynh kiểm soát những website mà con cái họ có thể truy cập
  Giờ là thời các chính trị gia kiểm soát những website mà chúng ta có thể truy cập